信息化觀察網(wǎng)

當(dāng)前，區(qū)塊鏈和分布式賬本技術(shù)（DLT）已有了長(zhǎng)足發(fā)展并廣泛應(yīng)用與多種場(chǎng)景中，原因在于其提供透明性，冗余性和問責(zé)性的能力。就區(qū)塊鏈而言，此類特征是通過公鑰加密和哈希函數(shù)提供的。但是，隨著量子計(jì)算的飛速發(fā)展，基于Grover和Shor（格羅弗和舒爾）算法對(duì)公鑰密碼學(xué)和散列函數(shù)構(gòu)成了重要威脅，迫使我們重新設(shè)計(jì)具有量子抗性的區(qū)塊鏈密碼系統(tǒng)，以承受潛在的量子攻擊。

基于此，我們需要研究后量子密碼系統(tǒng)的最新技術(shù)，以及如何將其應(yīng)用于區(qū)塊鏈和DLT，以及后量子時(shí)代區(qū)塊鏈系統(tǒng)及其面臨的主要挑戰(zhàn)。本章節(jié)主要介紹了當(dāng)前的區(qū)塊鏈密碼學(xué)技術(shù)特征，對(duì)比分析了公鑰系統(tǒng)及散列函數(shù)應(yīng)對(duì)量子攻擊的安全性能，探討了后量子區(qū)塊鏈計(jì)劃和后量子區(qū)塊鏈方案的理想特征。

1.概述

區(qū)塊鏈能夠提供安全的通信，數(shù)據(jù)隱私，彈性和透明度，基于哈希算法和塊鏈數(shù)據(jù)結(jié)構(gòu)組成了一個(gè)分布式賬本，允許在靈信任環(huán)境下的對(duì)等多方之間共享信息。區(qū)塊鏈系統(tǒng)的用戶通過公鑰/非對(duì)稱加密技術(shù)和哈希函數(shù)進(jìn)行安全交互，這對(duì)于用戶的身份認(rèn)證和安全交易至關(guān)重要。

如今，隨著量子計(jì)算機(jī)的快速發(fā)展，量子信息技術(shù)正對(duì)公鑰密碼系統(tǒng)和哈希函數(shù)構(gòu)成了重要威脅。

對(duì)于公鑰密碼系統(tǒng)，量子攻擊會(huì)影響最受歡迎的公鑰算法，包括RSA（Rivest，Shamir，Adleman），ECDSA（橢圓曲線數(shù)字簽名算法），ECDH（橢圓曲線Diffie-Hellman），或DSA（數(shù)字簽名算法）等，運(yùn)用Shor算法可在多項(xiàng)式時(shí)間內(nèi)打破。

另外，量子計(jì)算機(jī)可以利用Grover算法來(lái)加速哈希的生成，從而重新創(chuàng)建整個(gè)區(qū)塊鏈；同時(shí)，Grover算法可用來(lái)檢測(cè)哈希沖突，在替換區(qū)塊鏈上的塊數(shù)據(jù)結(jié)構(gòu)的同時(shí)，保留其完整性。

2.從量子前到量子后的區(qū)塊鏈

2.1區(qū)塊鏈的公鑰安全

我們一般常用安全位級(jí)別，來(lái)評(píng)估公鑰密碼系統(tǒng)抵抗經(jīng)典計(jì)算攻擊的強(qiáng)度。此級(jí)別定義為經(jīng)典計(jì)算機(jī)執(zhí)行暴力攻擊所需的工作量。表1列出了一些最通用的對(duì)稱和非對(duì)稱密碼系統(tǒng)的安全級(jí)別。

盡管當(dāng)前還沒有出現(xiàn)非常強(qiáng)大的量子計(jì)算機(jī)，但在未來(lái)的20年中，量子計(jì)算機(jī)將能夠輕易破解當(dāng)前強(qiáng)大的公鑰密碼系統(tǒng)。實(shí)際上，諸如NSA之類的組織已經(jīng)警告了量子計(jì)算對(duì)IT產(chǎn)品的影響，并建議提高某些密碼套件的ECC（橢圓曲線密碼學(xué)）安全級(jí)別。

表2列出了受量子威脅影響的最相關(guān)的公鑰密碼系統(tǒng)及其他相關(guān)密碼系統(tǒng)的主要特征，這些特征將受到與Shor和Grover算法有關(guān)的量子攻擊的破壞或嚴(yán)重影響。

2.2散列函數(shù)安全

與公鑰密碼系統(tǒng)相反，傳統(tǒng)的哈希函數(shù)被認(rèn)為能夠抵抗量子攻擊，因?yàn)殚_發(fā)用于NP難題的量子算法似乎不太可能。盡管學(xué)者們最近提出了新的哈希函數(shù)來(lái)抵抗量子攻擊，但通常建議增加傳統(tǒng)哈希函數(shù)的輸出大小。該建議與量子攻擊有關(guān)，通過Grover算法以二次因子來(lái)加速蠻力攻擊。

2.3后量子區(qū)塊鏈計(jì)劃

當(dāng)前已有不少項(xiàng)目開展了量子后區(qū)塊鏈計(jì)劃的相關(guān)研究，包括NIST等。比特幣后量子是一個(gè)主要的實(shí)驗(yàn)分支，它使用量子后數(shù)字簽名方案。另一個(gè)是以太坊3.0，它計(jì)劃應(yīng)用包括諸如zk-STARKs（簡(jiǎn)潔化的全透明零知識(shí)證明）之類的抗量子組件。其他區(qū)塊鏈平臺(tái)，例如Abelian，則建議使用基于晶格的后量子密碼系統(tǒng)來(lái)防止量子攻擊，而某些區(qū)塊鏈（例如Corda）正在嘗試使用SPHINCS之類的后量子算法。

2.4區(qū)塊鏈后量子方案的理想特征

為了提高效率，后量子密碼系統(tǒng)將需要為區(qū)塊鏈提供以下主要功能：

小秘鑰。與區(qū)塊鏈交互的設(shè)備在理想情況下需要利用小型公鑰和私鑰，以減少所需的存儲(chǔ)空間。另外，小密鑰在管理時(shí)涉及較少?gòu)?fù)雜的計(jì)算操作。對(duì)于需要物聯(lián)網(wǎng)（IoT）終端設(shè)備交互的區(qū)塊鏈而言，這一點(diǎn)尤其重要，因?yàn)楹笳咄ǔＴ诖鎯?chǔ)和計(jì)算能力方面受到限制。值得指出的是，與其他新興技術(shù)如深度學(xué)習(xí)一樣，物聯(lián)網(wǎng)在過去幾年中經(jīng)歷了顯著增長(zhǎng)，但物聯(lián)網(wǎng)設(shè)備仍然面臨一些重要挑戰(zhàn)，主要是關(guān)于安全性問題，在某種程度上限制了它與區(qū)塊鏈的聯(lián)合使用以及其廣泛采用。

小簽名和哈希長(zhǎng)度。區(qū)塊鏈本質(zhì)上是存儲(chǔ)數(shù)據(jù)交易，包括用戶簽名和數(shù)據(jù)/塊哈希。因此，如果簽名/哈希長(zhǎng)度增加，則區(qū)塊鏈大小也將增加。

快速執(zhí)行。后量子方案需要盡可能快，以便允許區(qū)塊鏈每秒處理大量交易。此外，快速執(zhí)行通常涉及較低的計(jì)算復(fù)雜性，這對(duì)于不將資源受限的設(shè)備從區(qū)塊鏈交易中排除是必需的。

低計(jì)算復(fù)雜度。此功能與快速執(zhí)行有關(guān)，但必須注意，使用某些硬件進(jìn)行快速執(zhí)行并不意味著后量子密碼系統(tǒng)的計(jì)算簡(jiǎn)單。例如，某些方案可以在使用高級(jí)矢量擴(kuò)展（AVX2）指令集的Intel微處理器中快速執(zhí)行，但是當(dāng)在基于ARM的微控制器上執(zhí)行時(shí)，相同的方案可能被認(rèn)為是慢速的。因此，有必要在計(jì)算復(fù)雜度，執(zhí)行時(shí)間和支持的硬件設(shè)備之間尋求折衷方案。

能耗低。諸如比特幣之類的一些區(qū)塊鏈應(yīng)用被認(rèn)為是耗電大戶，主要是因?yàn)閳?zhí)行其共識(shí)協(xié)議所需的能量消耗。還有其他影響功耗的因素，例如使用的硬件，已執(zhí)行的通信事務(wù)的數(shù)量，以及所實(shí)施的安全方案，由于所執(zhí)行的操作的復(fù)雜性，它們可能會(huì)消耗大量的電流。

注釋

1.多項(xiàng)式時(shí)間（Polynomial time）：在計(jì)算復(fù)雜度理論中，指的是一個(gè)問題的計(jì)算時(shí)間m(n)不大于問題大小n的多項(xiàng)式倍數(shù)。

2.秀爾算法（Shor’s algorithm）：一種常見的量子算法，可以在多項(xiàng)式時(shí)間內(nèi)完成大整數(shù)質(zhì)因數(shù)分解。

3.NP問題(Nondeterministic Polynomially)：是指一個(gè)復(fù)雜問題不能確定是否在多項(xiàng)式時(shí)間內(nèi)找到答案，但是可以在多項(xiàng)式時(shí)間內(nèi)驗(yàn)證答案是否正確。NP類問題有完全子圖問題、圖著色問題、旅行商(TSP)問題等。

4.zk-SNARKs：指簡(jiǎn)潔化的非交互式零知識(shí)證明。Zcash是zk-SNARKs的首個(gè)廣泛應(yīng)用。

5.zk-STARKs：指簡(jiǎn)潔化的全透明零知識(shí)證明。zk-STARK不需要進(jìn)行初始化可信設(shè)置（字母“T”代表了透明性），zk-STARKs是作為zk-SNARK協(xié)議的替代版本而創(chuàng)建的，被認(rèn)為是該技術(shù)的更快和更便捷的實(shí)現(xiàn)方式。